정보보안 스터디 - 2주차 5일 - 로그인 구현 4

1. 식별&인증 동시
2. 식별&인증 분리
3. 동시 (+해시암호화)
4. 분리 (+해시암호화)
5. 동시 (개행)

4. 식별&인증 분리 (+해시암호화)

 

2. 식별&인증 분리 와 겹치는 부분이 많습니다.

 

일단 여기 까지는 2. 식별&인증 분리 와 같구요.

 

 

테스트로 결과값 $row를 print_r(또는 echo)로 출력시켜보면 데이터가 모두 나온걸 볼 수 있습니다.

오류가 있을 때 출력시켜보면 문제가 무엇인지 확인할 수 있습니다.

 

 

 

$hashpwd 변수는 입력한 비밀번호 $pwd를 hash(SHA256버전)으로 바꿔줍니다.

참고로 hash(md5, $pwd) 도 가능합니다!

 

$dbpwd 변수는 $row의 DB데이터에서 비밀번호만 가져온 것입니다. 즉 DB비밀번호입니다. 

 

 

 

SHA256 은 새로고침했을 때 다른값이 나오는게 아니라 항상 같은 값이 나오기 때문에

$hashpwd 와 $dbpwd는 항상 같습니다.

 

그래서 만약 입력한 해시 비밀번호가 DB 해시 비밀번호와 같다면 

세션을 생성하고 

성공이라고 뜨게 됩니다.

 

 

이를 토대로 SQL injection을 해보고 본격적으로 CTF 문제를 풀어보도록 하겠습니다~